我在生产环境中部署了一个fabric网络,使用cryptogen工具生成证书。现在我需要将这些证书替换为使用Fabric-CA或任何其他CA生成的证书。实现这一目标的正确方法是什么?是否有可能进行交易配置更新,其中我用新证书替换现有证书,以及由旧证书(加密证书)签名的现有交易(块)会发生什么?
如有任何帮助,不胜感激。
是的,这是一个烂摊子,但你可以这样做。您应该为订购服务通道和每个受影响的通道逐个更新每个组织的CA证书(MSP和TLS)。请谨慎地排列并保存所有证书和密钥(旧的和新的,因为在不同的步骤中需要不同的签名)。该过程包括获取配置、通过configtxlator进行转换、签名和交易;与创建新通道或添加新组织的方式类似。
实际上,当您的CA证书过期时,这是在常规操作中应该做的。
并且,作为提醒,在生产环境中,您应该使用always ca(避免使用cryptogen,因为它不允许您管理身份)。总是使用CouchDB作为状态(而不是LevelDB)。并使用always Raft作为排序服务的共识。
编辑:如果您处于惰性模式,并且新的CA还不存在,您也可以尝试使用configtxgen的旧CA证书配置新的CA。您将无法管理或撤销旧的身份/证书,但可能比更新您的网络更容易。